الزامات احراز هویت خدمات مالی

صنعت خدمات مالی از مهمترین اهداف حملات سایبری در جهان است. این صنعت در سال ۲۰۲۳ تقریبا 20 درصد از کل حملات سایبری را متحمل شد. این امر منطقی است، زیرا موفقیت در این حملات می‌تواند مزایای مالی قابل‌توجهی داشته باشد. با وجود پیشرفت‌های امنیتی، این حملات همچنان موفقیت‌آمیز هستند. حدود 84 درصد از خدمات مالی که هدف حمله قرار گرفته‌اند، حداقل یک نقض امنیتی را تجربه کرده‌اند. نشت داده‌ها تنها بر سازمان مورد حمله تأثیر نمی‌گذارد، بلکه اعتماد به کل بخش مالی را کاهش می‌دهد. به همین دلیل، الزامات احراز هویت خدمات مالی رو به افزایش است.

صندوق بین‌المللی پول هشدار داده که ضعف امنیتی در خدمات مالی تهدیدی برای این صنعت و اقتصاد جهانی است. این تهدیدات می‌توانند از کاهش اعتماد عمومی به خدمات مالی گرفته تا بی‌ثباتی گسترده اقتصادی را شامل شوند. بدین دلیل، مقررات امنیت سایبری در جهان طی سال‌های اخیر تقویت شده‌اند تا وضعیت امنیتی این صنعت را بهبود بخشند. در ادامه، به بررسی مهم‌ترین الزامات احراز هویت اخیر برای خدمات مالی خواهیم پرداخت.

 

نیویورک – مقررات امنیت سایبری NYDFS بخش ۵۰۰

یکی از مهم‌ترین قوانین امنیت سایبری در امریکا، لایحه امنیت سایبری وزارت خدمات مالی نیویورک (NYDFS) است. این لایحه به‌طور رسمی با عنوان ۲۳ NYCRR بخش ۵۰۰ شناخته می‌شود و در سال ۲۰۱۷ اجرایی شده است. این قانون تمام شرکت‌های حوزه بانکداری، بیمه و خدمات مالی (در سراسر ایالات متحده) را تحت تأثیر قرار می‌دهد. بر اساس این قانون، شرکت‌ها باید سیاست‌هایی در زمینه‌های مدیریت داده‌ها، کنترل‌های دسترسی و حریم خصوصی مشتریان را اجرا کنند.

همچنین، این قانون روش‌های امنیتی قوی‌تر مانند احراز هویت چندعاملی(MFA)  را برای محافظت از اطلاعات، الزامی کرده است. اصلاحات جدیدی در نوامبر ۲۰۲۳ به این قانون اضافه شده است. یکی از موارد، اجبار شرکت‌ها به احراز هویت چندعاملی برای دسترسی از راه‌دور و حساب‌های دارای سطح دسترسی بالا است. همچنین سازمان‌ها باید دسترسی به اطلاعات حساس برای تمام کاربران را مورد بررسی قرار دهند. این کار شامل اسکن‌های خودکار سیستم‌های اطلاعاتی برای شناسایی آسیب‌پذیری‌ها خواهد بود.

همچنین، در اصلاحات جدید به سازمان‌ها در خصوص امنیت دسترسی و احراز هویت نیز توصیه‌هایی شده است. سازمان‌ها در این خصوص به هویت‌های تایید شده به‌صورت رمزنگاری و جلوگیری از حملات فیشینگ، توصیه شده‌اند. از این رو باید از احراز هویت چند عاملی بدون رمزعبور (passwordless)، بر اساس استاندارد FIDO استفاده کنند. این فناوری‌ها می‌توانند به شرکت‌ها در بهبود انطباق با مقررات سختگیرانه و در حال تحول مانند NYDFS  کمک کنند.

 

ایالات متحده – قانون گرام-لیچ-بلی (GLBA)

قانون گرام-لیچ-بلی (GLBA) دارای قاعده‌ای خاص در مورد حریم خصوصی اطلاعات مالی مصرف‌کنندگان است. این قانون به طور مستقیم بر امنیت سایبری خدمات مالی تأثیر می‌گذارد. اشاره این قانون به اطلاعات شخصی غیرعمومی (NPI) است که یک شرکت هنگام ارائه خدمات مالی جمع‌آوری می‌کند. جریمه‌های عدم انطباق با این قانون می‌تواند تا ۱۰۰,۰۰۰ دلار برای هر تخلف و حتی پنج سال زندان باشد. از این رو رعایت تمامی موارد آن می‌بایست در دستور کار تمامی سازمان‌ها در این حوزه قرار گیرد.

 

بریتانیا – قانون حفاظت از داده‌ها  (Data Protection Act)

پس از خروج بریتانیا از اتحادیه اروپا، DPA  به‌عنوان قانون حفاظت از داده‌ها در سال ۲۰۱۸ در بریتانیا تصویب شد. این قانون تقریباً مشابه GDPR  اتحادیه اروپا است که البته فقط برای شهروندان بریتانیایی اصلاح شده است. الزامات بسیار مشابهی در مورد امنیت داده‌ها، رضایت و گزارش‌دهی و جریمه‌ها برای عدم انطباق در این قانون وجود دارد. سایر موارد این قانون نیز، تشابه فراوانی با GDPR دارند. به نظر می‌رسد به خاطر کامل بودن GDPR موارد بسیاری بدون تغییر، از آن اقتباس گردد.

 

جهانی – استاندارد امنیت داده‌های صنعت کارت پرداخت  (PCI DSS)

استانداردPCI DSS  شامل پردازش‌کنندگان پرداخت از شرکت‌های اصلی کارت‌های اعتباری است. برای دستیابی به انطباق، برنامه‌های امنیت سایبری خدمات مالی باید چندین تعهد را برآورده کنند. از جمله می‌توان به محافظت از داده‌های دارنده کارت، رمزگذاری داده‌ها و احراز هویت و مدیریت دسترسی اشاره کرد. نقض‌های PCI DSS می‌تواند منجر به جریمه‌ها و محدودیت‌هایی در استفاده از کارت‌های اعتباری اصلی شود. نسخه جدید PCI DSS 4.0  الزامات احراز هویت قوی‌تری را به‌ویژه برای رمزعبور و احراز هویت چندعاملی وضع کرده است.

رمزهای عبور اکنون مشخصات سخت‌گیرانه‌تری دارند (برای مثال، باید هر ۹۰ روز یکبار بازنشانی شوند). الزامات MFA نیز از دسترسی مدیران به محیط داده‌های دارنده کارت فراتر رفته و به تمام اجزای سیستم رسیده است. از جمله ابر، سیستم‌های میزبانی‌شده، برنامه‌های محلی، دستگاه‌های امنیتی شبکه، ایستگاه‌های کاری، سرورها و نقاط انتهایی گسترش یافته است. برای انطباق با نسخه جدید، روش‌های خودکار و تأیید هویت امن برای بازنشانی اعتبارنامه‌ها و عوامل احراز هویت توصیه شود. این استاندارد نیاز به تأیید هویت کاربر قبل از تغییر احراز هویت دارد تا از حملات فرآیند بازنشانی جلوگیری کند.

 

سنگاپور – دستورالعمل‌های بهداشت سایبری از سوی اداره پولی سنگاپور (MAS)

اداره پولی سنگاپور (MAS) بر مؤسسات مالی در بخش‌های بانکداری، بازارهای سرمایه، بیمه و پرداخت‌های الکترونیک نظارت می‌کند. MAS مجموعه‌ای از دستورالعمل‌های بهداشت سایبری را برای سازمان‌ها در دسته‌های یاد شده صادر کرده است. این دستورالعمل‌ها شامل مجموعه‌ای از الزامات قانونی است که مؤسسات مالی باید برای کاهش تهدیدات سایبری رعایت کنند. این دستورالعمل‌ها که شامل شش حوزه کلیدی در فضای امنیت سایبری می‌شوند، موارد زیر را در بر می‌گیرند:

1. ایمن‌سازی دسترسی به حساب‌های مدیریتی
2. وصله کردن منظم آسیب‌پذیری‌ها
3. تدوین منظم استانداردها و راهنماهای امنیتی و تست آنها
4. سیستم‌های دفاع در برابر حریم خصوصی
5. محافظت در برابر بدافزارها
6. احراز هویت چندعاملی برای هر سیستمی که برای دسترسی به اطلاعات حساس استفاده می‌شود

 

ایالات متحده – قانون ساربنز-آکسلی (SOX)

قانون ساربنز-آکسلی در ابتدا برای ثبت افشاگری‌های نیازمند ارائه توسط شرکت‌ها به سرمایه‌گذاران و تعیین مجازات‌های نقض قوانین ایجاد شد. این قانون به مدیران در صورت نقض تا ۱ میلیون دلار جریمه و ۱۰ سال زندان تحمیل خواهد نمود. از آن زمان، این قانون برای در نظر گرفتن مسائل امنیت سایبری به روزرسانی شده است. اکنون، تمام شرکت‌ها موظف به اعلام انطباق با به‌روشهای امنیتی در زمینه‌هایی مانند احراز هویت و امنیت داده‌ها هستند. برای اطمینان از اثبات هویت ایمن کارکنان، احراز هویت قوی بیومتریک و تجهیز به KYE باید در سازمان‌ها اجرا شود.

 

اتحادیه اروپا – دستورالعمل خدمات پرداخت ۲ یا همان PSD2

الزام PSD2  برای تسهیل ادغام و اشتراک داده‌ها توسط شرکت‌های خدمات مالی و ایمن‌تر کردن سیستم‌های پرداخت معرفی شد. علاوه بر این، این قانون استانداردهای فنی خاصی را برای احراز هویت قوی مشتری (SCA) تعیین کرده است. این اقدامات شامل تمام شرکت‌هایی است که به مصرف‌کنندگان در اتحادیه اروپا خدمات ارائه می‌دهند. همچنین هر پرداختی که در اتحادیه اروپا آغاز، در آن عبور یا به پایان می‌رسد را نیز در برمی‌گیرد. این امر الزامات روشنی را برای امنیت سایبری خدمات مالی وضع می‌کند، حتی برای شرکت‌های خارج از اتحادیه اروپا.

نسخه به‌روز‌شده‌ای از این چارچوب، یعنی PSD3، در حال بررسی است. PSD3 تغییرات مهمی برای بانک‌ها و ارائه‌دهندگان خدمات پرداخت غیربانکی (PSP) و همچنین مصرف‌کنندگان به ارمغان خواهد آورد. این تغییرات شامل قوانین جدید احراز هویت قوی مشتری (SCA) است. قوانینی که دسترسی به داده‌ها، حفاظت از پرداخت‌ها و احراز هویت کاربران را امن‌تر خواهد کرد. انتظار می‌رود نسخه نهایی آن در پایان سال ۲۰۲۴ منتشر و در سال ۲۰۲۶ اجرایی شود.

 

ایالات متحده – استانداردهای FFIEC

کمیته ارزیابی مؤسسات مالی فدرال (FFIEC) نهاد تعیین‌کننده استانداردها برای تمام مؤسسات این حوزه است. به‌روش‌های امنیت سایبری FFIEC شامل راهنمایی‌هایی در خصوص احراز هویت مؤثر و مدیریت ریسک دسترسی است. استانداردهای احراز هویت FFIEC به‌شدت بر احراز هویت چندعاملی به‌عنوان کنترلی حیاتی برای جلوگیری از نقض داده‌ها تأکید دارند. این استانداردها کاملا مشابه با الزامات احراز هویت مشتری قوی (SCA)  در  PSD2هستند. این اسناد به استانداردهای NIST مانندSP 1800-17 و SP 800-63B اشاره دارند که راهنمایی‌های پیاده‌سازی MFA بدون رمزعبور FIDO هستند.

 

اتحادیه اروپا – دستورالعمل  NIS2

NIS2 یا دستورالعمل امنیت شبکه و اطلاعات ۲ یک مقررات به‌روز شده از اتحادیه اروپا است. این دستورالعمل برای تقویت امنیت سایبری در صنایع مختلف طراحی شده است. NIS2 با گسترش دامنه و وضع قوانین سخت‌تر در مورد شیوه‌های امنیتی و گزارش‌دهی حوادث، مجازات‌های سنگین‌تری وضع نموده است. بر اساس NIS2، بخش‌های انرژی، مالی، حمل و نقل و بهداشت، باید پروتکل‌های امنیت سایبری قوی را پیاده‌سازی کنند. این پروتکل‌ها شامل مدیریت ریسک، احراز هویت و دسترسی قوی و استانداردهای دقیق گزارش‌دهی حوادث می‌شود. این دستورالعمل همچنین استفاده از احراز هویت چندعاملی و احراز هویت پیوسته را اجباری نموده است.

 

ایالات متحده – چارچوب امنیت سایبری NIST نسخه ۲.۰

چارچوب امنیت سایبری NIST (CSF) راهنمای کسب‌وکارها برای مدیریت ریسک‌های امنیت سایبری است. نسخه جدید آن، CSF 2.0، بر تکامل فناوری برای مهاجرت به فضای ابری وSaaS  متمرکز است. این کار با افزودن مفهوم حاکمیت برای تصمیم‌گیری بهتر در مورد امنیت سایبری انجام شده است. این چارچوب به‌ویژه برای سازمان‌های مالی وابسته بهSaaS  و راه‌حل‌های ابری اهمیت زیادی دارد. این‌گونه سازمان‌ها، غالبا دارای حجم زیادی از داده‌های حساس هستند که باید از نشت داده و حملات سایبری محافظت شوند. در این چارچوب، برای تأیید هویت پیوسته کاربران، احراز هویت تطبیقی توصیه شده تا امنیت در طول نشست تضمین شود.

 

کالیفرنیا – قانون حریم خصوصی مصرف‌کنندگان کالیفرنیا (CCPA)

قانون CCPA مخفف California Consumer Privacy Act است. این قانون با هدف حفاظت از حقوق حریم خصوصی و حمایت از مصرف‌کنندگان در کالیفرنیا معرفی شده است. در واقع در ایالت کالیفرنیا، تلاش شده است تا از حقوق افراد و مصرف‌کنندگان در برای تهدیدات سایبری حفاظت شود. این قانون بر هر شرکتی با شرایط زیر که با مصرف‌کنندگان کالیفرنیایی تعامل داشته باشد تأثیر گذار خواهد بود. جریمه‌ها می‌توانند تا ۲,۵۰۰ دلار برای تخلفات غیرعمدی و ۷,۵۰۰ دلار برای تخلفات عمدی افزایش یابد. در صورت نشت داده‌ها این جریمه‌ها به ازای هر رکورد دزدیده‌شده ضرب خواهند شد.

• درآمد ناخالص بیش از ۲۵ میلیون دلار
• خرید، فروش یا دریافت داده‌های شخصی ۵۰,۰۰۰ مصرف‌کننده
• کسب بیش از نصف درآمد خود از فروش اطلاعات شخصی مصرف‌کنندگان

 

اتحادیه اروپا – قانون حفاظت از داده‌ها (GDPR)

تمام شرکت‌هایی که داده‌های شهروندان اتحادیه اروپا را پردازش می‌کنند تحت تأثیرGDPR  قرار دارند. این قانون نحوه استفاده و محافظت از داده‌ها و نحوه دریافت رضایت برای جمع‌آوری آن‌ها را تعیین می‌کند. علاوه بر استفاده از داده‌ها، گزارش‌دهی به‌موقع نقض‌ها نیز در صورتی تاثیرگذاری بر شهروندان اروپا، الزامی است. برای امنیت سایبری خدمات مالی، رعایت GDPR ضروری است. عدم رعایت آن می‌تواند منجر به جریمه‌های ۲۰ میلیون یورویی یا ۴٪ از درآمد جهانی شرکت‌ها شود. بزرگترین جریمه این قانون تاکنون برای آمازون با مبلغ ۸۸۸ میلیون دلار اعمال شده است.

 

طرح امن‌سازی زیرساخت‌های حیاتی افتا

طرح امن‌سازی از سوی مرکز راهبردی افتای ریاست جمهوری به سازمان‌های دارای زیرساخت حیاتی ابلاغ شده است. این طرح فرآیندی متشکل از هفت گام را برای انجام امور مرتبط با امن­سازی زیرساخت­های حیاتی پیشنهاد می­دهد. این فرآیند با تشکیل کمیته اجرای طرح آغاز و با ایجاد پروفایل و تعیین سطح بلوغ امنیتی موجود ادامه می‌یابد. سپس، تعیین سطح بلوغ مطلوب، تدوین برنامه عملیاتی، تایید آن توسط افتا، پیاده­سازی آن و نهایتا ممیزی آن قرار دارد.

نکته مهم در این طرح، وجود یک دامنه کامل برای احراز هویت و مدیریت دسترسی است. در این دامنه، دسته‌ای از فعالیت‌های کنترل دسترسی وجود دارد که شامل الزامات این حوزه است. یکی از موارد مهم در این دسته، اشاره به احراز هویت چندعاملی برای دسترسی‌های ویژه است. در واقع مرکز افتا، برای دسترسی‌های ویژه، شیوه‌های معمول و سنتی را قابل قبول نمی‌داند. لذا برای اطمینان از رعایت الزامات احراز هویت خدمات مالی، باید از شیوه‌های جدید، همچون ورود بدون رمزعبور استفاده شود.

 

الزامات مرکز داده سازمان پدافند غیرعامل

سازمان پدافند غیرعامل، برای مراکز داده در سطح کشور، الزامات خاصی را تدوین و بروزرسانی می‌نماید. این الزام بر ساخت مراکز داده جدید و یا امن‌سازی موارد کنونی اعمال می‌گردد. از نکات مهم این الزام، اشاره به احراز هویت چندعاملی برای دسترسی به تجهیزات مهم شبکه در مرکز داده است. در نتیجه دسترسی به مواردی همچون روترها، سرورهای مانیتورینگ و بسیاری دیگر از تجهیزات، نیازمند شیوه‌های احراز هویت چندعاملی است. رعایت الزامات احراز هویت خدمات مالی پدافند نیز به دلیل قرار گرفتن در دسته زیرساخت‌های حیاتی، اجباری می‎‌باشد.

 

دستیابی به الزامات احراز هویت خدمات مالی با راهکار نشانه

وقتی کسب‌وکارها در رعایت الزامات احراز هویت خدمات مالی کوتاهی می‌کنند، با جریمه‌های مالی و افزایش نظارت مواجه می‌شوند. نکته مهمتر آن است، که عدم رعایت این موارد، خطر وقوع حوادث امنیت سایبری را بالاتر می‌برد. علاوه بر اختلالات عملیاتی و کاهش درآمد، حوادث سایبری ممکن است ماه‌ها یا حتی سال‌ها تبعات به همراه داشته باشند. از این رو رعایت این الزامات، می‌تواند کمک بزرگی در دستیابی به ثبات برای سازمان‌ها باشد.

خدمات مالی همواره در معرض خطر بالای حملات سایبری هستند. برای مقابله با این تهدیدات، الزاماتی معرفی شده‌اند تا اطمینان حاصل کنند که به‌روش‌ها در این صنعت بکار گرفته می‌شوند. یکی از نکات مشترک در بسیاری از این الزامات، استفاده از شیوه‌های احراز هویت قوی است. راهکار نشانه با ارائه احراز هویت بدون رمزعبور، پاسخی برای ایمن‌سازی سازمان‌های مالی در این حوزه است. این محصول که در شرکت رهسا (ره‌آورد سامانه‌های امن) تولید شده، تجربه کاربری را نیز بسیار بهبود می‌بخشد. برای کسب اطلاعات بیشتر در این خصوص، با همکاران ما در تیم نشانه در تماس باشید.